Как называется шлюзовой компьютер, выполняющий защитную функцию

Обновлено: 21.11.2024

Из этого введения в работу с сетями вы узнаете, как работают компьютерные сети, какая архитектура используется для проектирования сетей и как обеспечить их безопасность.

Что такое компьютерная сеть?

Компьютерная сеть состоит из двух или более компьютеров, соединенных между собой кабелями (проводными) или WiFi (беспроводными) с целью передачи, обмена или совместного использования данных и ресурсов. Вы строите компьютерную сеть, используя оборудование (например, маршрутизаторы, коммутаторы, точки доступа и кабели) и программное обеспечение (например, операционные системы или бизнес-приложения).

Географическое расположение часто определяет компьютерную сеть. Например, LAN (локальная сеть) соединяет компьютеры в определенном физическом пространстве, например, в офисном здании, тогда как WAN (глобальная сеть) может соединять компьютеры на разных континентах. Интернет — крупнейший пример глобальной сети, соединяющей миллиарды компьютеров по всему миру.

Вы можете дополнительно определить компьютерную сеть по протоколам, которые она использует для связи, физическому расположению ее компонентов, способу управления трафиком и ее назначению.

Компьютерные сети позволяют общаться в любых деловых, развлекательных и исследовательских целях. Интернет, онлайн-поиск, электронная почта, обмен аудио и видео, онлайн-торговля, прямые трансляции и социальные сети — все это существует благодаря компьютерным сетям.

Типы компьютерных сетей

По мере развития сетевых потребностей менялись и типы компьютерных сетей, отвечающие этим потребностям. Вот наиболее распространенные и широко используемые типы компьютерных сетей:

Локальная сеть (локальная сеть). Локальная сеть соединяет компьютеры на относительно небольшом расстоянии, позволяя им обмениваться данными, файлами и ресурсами. Например, локальная сеть может соединять все компьютеры в офисном здании, школе или больнице. Как правило, локальные сети находятся в частной собственности и под управлением.

WLAN (беспроводная локальная сеть). WLAN похожа на локальную сеть, но соединения между устройствами в сети осуществляются по беспроводной сети.

WAN (глобальная сеть). Как видно из названия, глобальная сеть соединяет компьютеры на большой территории, например, из региона в регион или даже из одного континента в другой. Интернет — это крупнейшая глобальная сеть, соединяющая миллиарды компьютеров по всему миру. Обычно для управления глобальной сетью используются модели коллективного или распределенного владения.

MAN (городская сеть): MAN обычно больше, чем LAN, но меньше, чем WAN. Города и государственные учреждения обычно владеют и управляют MAN.

PAN (персональная сеть): PAN обслуживает одного человека. Например, если у вас есть iPhone и Mac, вполне вероятно, что вы настроили сеть PAN, которая позволяет обмениваться и синхронизировать контент — текстовые сообщения, электронные письма, фотографии и многое другое — на обоих устройствах.

SAN (сеть хранения данных). SAN – это специализированная сеть, предоставляющая доступ к хранилищу на уровне блоков — общей сети или облачному хранилищу, которое для пользователя выглядит и работает как накопитель, физически подключенный к компьютеру. (Дополнительную информацию о том, как SAN работает с блочным хранилищем, см. в разделе «Блочное хранилище: полное руководство».)

CAN (сеть кампуса). CAN также известен как корпоративная сеть. CAN больше, чем LAN, но меньше, чем WAN. CAN обслуживают такие объекты, как колледжи, университеты и бизнес-кампусы.

VPN (виртуальная частная сеть). VPN – это безопасное двухточечное соединение между двумя конечными точками сети (см. раздел "Узлы" ниже). VPN устанавливает зашифрованный канал, который сохраняет личность пользователя и учетные данные для доступа, а также любые передаваемые данные, недоступные для хакеров.

Важные термины и понятия

Ниже приведены некоторые общие термины, которые следует знать при обсуждении компьютерных сетей:

IP-адрес: IP-адрес — это уникальный номер, присваиваемый каждому устройству, подключенному к сети, которая использует для связи Интернет-протокол. Каждый IP-адрес идентифицирует хост-сеть устройства и местоположение устройства в хост-сети. Когда одно устройство отправляет данные другому, данные включают «заголовок», который включает IP-адрес отправляющего устройства и IP-адрес устройства-получателя.

Узлы. Узел — это точка подключения внутри сети, которая может получать, отправлять, создавать или хранить данные. Каждый узел требует, чтобы вы предоставили некоторую форму идентификации для получения доступа, например IP-адрес. Несколько примеров узлов включают компьютеры, принтеры, модемы, мосты и коммутаторы. Узел — это, по сути, любое сетевое устройство, которое может распознавать, обрабатывать и передавать информацию любому другому сетевому узлу.

Маршрутизаторы. Маршрутизатор — это физическое или виртуальное устройство, которое отправляет информацию, содержащуюся в пакетах данных, между сетями. Маршрутизаторы анализируют данные в пакетах, чтобы определить наилучший способ доставки информации к конечному получателю. Маршрутизаторы пересылают пакеты данных до тех пор, пока они не достигнут узла назначения.

Коммутаторы. Коммутатор – это устройство, которое соединяет другие устройства и управляет обменом данными между узлами в сети, обеспечивая доставку пакетов данных к конечному пункту назначения. В то время как маршрутизатор отправляет информацию между сетями, коммутатор отправляет информацию между узлами в одной сети. При обсуждении компьютерных сетей «коммутация» относится к тому, как данные передаются между устройствами в сети. Три основных типа переключения следующие:

Коммутация каналов, которая устанавливает выделенный канал связи между узлами в сети. Этот выделенный путь гарантирует, что во время передачи будет доступна вся полоса пропускания, что означает, что никакой другой трафик не может проходить по этому пути.

Коммутация пакетов предполагает разбиение данных на независимые компоненты, называемые пакетами, которые из-за своего небольшого размера предъявляют меньшие требования к сети. Пакеты перемещаются по сети к конечному пункту назначения.

Переключение сообщений отправляет сообщение полностью с исходного узла, перемещаясь от коммутатора к коммутатору, пока не достигнет узла назначения.

Порты: порт определяет конкретное соединение между сетевыми устройствами. Каждый порт идентифицируется номером. Если вы считаете IP-адрес сопоставимым с адресом отеля, то порты — это номера люксов или комнат в этом отеле. Компьютеры используют номера портов, чтобы определить, какое приложение, служба или процесс должны получать определенные сообщения.

Типы сетевых кабелей. Наиболее распространенными типами сетевых кабелей являются витая пара Ethernet, коаксиальный и оптоволоконный кабель. Выбор типа кабеля зависит от размера сети, расположения сетевых элементов и физического расстояния между устройствами.

Примеры компьютерных сетей

Проводное или беспроводное соединение двух или более компьютеров с целью обмена данными и ресурсами образует компьютерную сеть. Сегодня почти каждое цифровое устройство принадлежит к компьютерной сети.

В офисе вы и ваши коллеги можете совместно использовать принтер или систему группового обмена сообщениями. Вычислительная сеть, которая позволяет это, вероятно, представляет собой локальную сеть или локальную сеть, которая позволяет вашему отделу совместно использовать ресурсы.

Городские власти могут управлять общегородской сетью камер наблюдения, которые отслеживают транспортный поток и происшествия. Эта сеть будет частью MAN или городской сети, которая позволит городским службам экстренной помощи реагировать на дорожно-транспортные происшествия, советовать водителям альтернативные маршруты движения и даже отправлять дорожные билеты водителям, проезжающим на красный свет.

The Weather Company работала над созданием одноранговой ячеистой сети, которая позволяет мобильным устройствам напрямую взаимодействовать с другими мобильными устройствами, не требуя подключения к Wi-Fi или сотовой связи. Проект Mesh Network Alerts позволяет доставлять жизненно важную информацию о погоде миллиардам людей даже без подключения к Интернету.

Компьютерные сети и Интернет

Провайдеры интернет-услуг (ISP) и поставщики сетевых услуг (NSP) предоставляют инфраструктуру, позволяющую передавать пакеты данных или информации через Интернет. Каждый бит информации, отправленной через Интернет, не поступает на каждое устройство, подключенное к Интернету. Это комбинация протоколов и инфраструктуры, которая точно указывает, куда направить информацию.

Как они работают?

Компьютерные сети соединяют такие узлы, как компьютеры, маршрутизаторы и коммутаторы, с помощью кабелей, оптоволокна или беспроводных сигналов. Эти соединения позволяют устройствам в сети взаимодействовать и обмениваться информацией и ресурсами.

Сети следуют протоколам, которые определяют способ отправки и получения сообщений. Эти протоколы позволяют устройствам обмениваться данными. Каждое устройство в сети использует интернет-протокол или IP-адрес, строку цифр, которая однозначно идентифицирует устройство и позволяет другим устройствам распознавать его.

Маршрутизаторы – это виртуальные или физические устройства, облегчающие обмен данными между различными сетями. Маршрутизаторы анализируют информацию, чтобы определить наилучший способ доставки данных к конечному пункту назначения. Коммутаторы соединяют устройства и управляют связью между узлами внутри сети, гарантируя, что пакеты информации, перемещающиеся по сети, достигают конечного пункта назначения.

Архитектура

Архитектура компьютерной сети определяет физическую и логическую структуру компьютерной сети. В нем описывается, как компьютеры организованы в сети и какие задачи возлагаются на эти компьютеры. Компоненты сетевой архитектуры включают аппаратное и программное обеспечение, средства передачи (проводные или беспроводные), топологию сети и протоколы связи.

Основные типы сетевой архитектуры

В сети клиент/сервер центральный сервер или группа серверов управляет ресурсами и предоставляет услуги клиентским устройствам в сети. Клиенты в сети общаются с другими клиентами через сервер.В отличие от модели P2P, клиенты в архитектуре клиент/сервер не делятся своими ресурсами. Этот тип архитектуры иногда называют многоуровневой моделью, поскольку он разработан с несколькими уровнями или ярусами.

Топология сети

Топология сети — это то, как устроены узлы и каналы в сети. Сетевой узел — это устройство, которое может отправлять, получать, хранить или пересылать данные. Сетевой канал соединяет узлы и может быть как кабельным, так и беспроводным.

Понимание типов топологии обеспечивает основу для построения успешной сети. Существует несколько топологий, но наиболее распространенными являются шина, кольцо, звезда и сетка:

При топологии шинной сети каждый сетевой узел напрямую подключен к основному кабелю.

В кольцевой топологии узлы соединены в петлю, поэтому каждое устройство имеет ровно двух соседей. Соседние пары соединяются напрямую; несмежные пары связаны косвенно через несколько узлов.

В топологии звездообразной сети все узлы подключены к одному центральному концентратору, и каждый узел косвенно подключен через этот концентратор.

сетчатая топология определяется перекрывающимися соединениями между узлами. Вы можете создать полносвязную топологию, в которой каждый узел в сети соединен со всеми остальными узлами. Вы также можете создать топологию частичной сетки, в которой только некоторые узлы соединены друг с другом, а некоторые связаны с узлами, с которыми они обмениваются наибольшим количеством данных. Полноячеистая топология может быть дорогостоящей и трудоемкой для выполнения, поэтому ее часто используют для сетей, требующих высокой избыточности. Частичная сетка обеспечивает меньшую избыточность, но является более экономичной и простой в реализации.

Безопасность

Безопасность компьютерной сети защищает целостность информации, содержащейся в сети, и контролирует доступ к этой информации. Политики сетевой безопасности уравновешивают необходимость предоставления услуг пользователям с необходимостью контроля доступа к информации.

Существует много точек входа в сеть. Эти точки входа включают аппаратное и программное обеспечение, из которых состоит сама сеть, а также устройства, используемые для доступа к сети, такие как компьютеры, смартфоны и планшеты. Из-за этих точек входа сетевая безопасность требует использования нескольких методов защиты. Средства защиты могут включать брандмауэры — устройства, которые отслеживают сетевой трафик и предотвращают доступ к частям сети на основе правил безопасности.

Процессы аутентификации пользователей с помощью идентификаторов пользователей и паролей обеспечивают еще один уровень безопасности. Безопасность включает в себя изоляцию сетевых данных, чтобы доступ к служебной или личной информации был сложнее, чем к менее важной информации. Другие меры сетевой безопасности включают обеспечение регулярного обновления и исправления аппаратного и программного обеспечения, информирование пользователей сети об их роли в процессах безопасности и информирование о внешних угрозах, осуществляемых хакерами и другими злоумышленниками. Сетевые угрозы постоянно развиваются, что делает сетевую безопасность бесконечным процессом.

Использование общедоступного облака также требует обновления процедур безопасности для обеспечения постоянной безопасности и доступа. Для безопасного облака требуется безопасная базовая сеть.

Ознакомьтесь с пятью основными соображениями (PDF, 298 КБ) по обеспечению безопасности общедоступного облака.

Ячеистые сети

Как отмечалось выше, ячеистая сеть — это тип топологии, в котором узлы компьютерной сети подключаются к как можно большему количеству других узлов. В этой топологии узлы взаимодействуют друг с другом, чтобы эффективно направлять данные к месту назначения. Эта топология обеспечивает большую отказоустойчивость, поскольку в случае отказа одного узла существует множество других узлов, которые могут передавать данные. Ячеистые сети самонастраиваются и самоорганизуются в поисках самого быстрого и надежного пути для отправки информации.

Тип ячеистых сетей

Существует два типа ячеистых сетей — полная и частичная:

  • В полной ячеистой топологии каждый сетевой узел соединяется со всеми остальными сетевыми узлами, обеспечивая высочайший уровень отказоустойчивости. Однако его выполнение обходится дороже. В топологии с частичной сеткой подключаются только некоторые узлы, обычно те, которые чаще всего обмениваются данными.
  • беспроводная ячеистая сеть может состоять из десятков и сотен узлов. Этот тип сети подключается к пользователям через точки доступа, разбросанные по большой территории.

Балансировщики нагрузки и сети

Балансировщики нагрузки эффективно распределяют задачи, рабочие нагрузки и сетевой трафик между доступными серверами. Думайте о балансировщиках нагрузки как об управлении воздушным движением в аэропорту. Балансировщик нагрузки отслеживает весь трафик, поступающий в сеть, и направляет его на маршрутизатор или сервер, которые лучше всего подходят для управления им. Цели балансировки нагрузки – избежать перегрузки ресурсов, оптимизировать доступные ресурсы, сократить время отклика и максимально увеличить пропускную способность.

Полный обзор балансировщиков нагрузки см. в разделе Балансировка нагрузки: полное руководство.

Сети доставки контента

Сеть доставки контента (CDN) – это сеть с распределенными серверами, которая доставляет пользователям временно сохраненные или кэшированные копии контента веб-сайта в зависимости от их географического положения. CDN хранит этот контент в распределенных местах и ​​предоставляет его пользователям, чтобы сократить расстояние между посетителями вашего сайта и сервером вашего сайта. Кэширование контента ближе к вашим конечным пользователям позволяет вам быстрее обслуживать контент и помогает веб-сайтам лучше охватить глобальную аудиторию. CDN защищают от всплесков трафика, сокращают задержки, снижают потребление полосы пропускания, ускоряют время загрузки и уменьшают влияние взломов и атак, создавая слой между конечным пользователем и инфраструктурой вашего веб-сайта.

Прямые трансляции мультимедиа, мультимедиа по запросу, игровые компании, создатели приложений, сайты электронной коммерции — по мере роста цифрового потребления все больше владельцев контента обращаются к CDN, чтобы лучше обслуживать потребителей контента.

Компьютерные сетевые решения и IBM

Компьютерные сетевые решения помогают предприятиям увеличить трафик, сделать пользователей счастливыми, защитить сеть и упростить предоставление услуг. Лучшее решение для компьютерной сети, как правило, представляет собой уникальную конфигурацию, основанную на вашем конкретном типе бизнеса и потребностях.

Сети доставки контента (CDN), балансировщики нагрузки и сетевая безопасность — все это упомянуто выше — это примеры технологий, которые могут помочь компаниям создавать оптимальные компьютерные сетевые решения. IBM предлагает дополнительные сетевые решения, в том числе:

    — это устройства, которые дают вам улучшенный контроль над сетевым трафиком, позволяют повысить производительность вашей сети и повысить ее безопасность. Управляйте своими физическими и виртуальными сетями для маршрутизации нескольких VLAN, для брандмауэров, VPN, формирования трафика и многого другого. обеспечивает безопасность и ускоряет передачу данных между частной инфраструктурой, мультиоблачными средами и IBM Cloud. — это возможности безопасности и производительности, предназначенные для защиты общедоступного веб-контента и приложений до того, как они попадут в облако. Получите защиту от DDoS, глобальную балансировку нагрузки и набор функций безопасности, надежности и производительности, предназначенных для защиты общедоступного веб-контента и приложений до того, как они попадут в облако.

Сетевые сервисы в IBM Cloud предоставляют вам сетевые решения для повышения трафика, обеспечения удовлетворенности ваших пользователей и легкого предоставления ресурсов по мере необходимости.

Развить сетевые навыки и получить профессиональную сертификацию IBM, пройдя курсы в рамках программы Cloud Site Reliability Engineers (SRE) Professional.

Раздел 404 Закона Сарбейнса-Оксли (SOX) требует, чтобы все публичные компании установили внутренний контроль и процедуры.

Закон о защите конфиденциальности детей в Интернете от 1998 года (COPPA) – это федеральный закон, который налагает особые требования на операторов доменов .

План North American Electric Reliability Corporation по защите критически важной инфраструктуры (NERC CIP) представляет собой набор стандартов.

Стандарт безопасности данных платежных приложений (PA-DSS) – это набор требований, призванных помочь поставщикам программного обеспечения в разработке безопасных .

Взаимная аутентификация, также называемая двусторонней аутентификацией, представляет собой процесс или технологию, в которой оба объекта обмениваются данными .

Экранированная подсеть или брандмауэр с тройным подключением относится к сетевой архитектуре, в которой один брандмауэр используется с тремя сетями .

Медицинская транскрипция (МТ) – это ручная обработка голосовых сообщений, продиктованных врачами и другими медицинскими работниками.

Электронное отделение интенсивной терапии (eICU) — это форма или модель телемедицины, в которой используются самые современные технологии.

Защищенная медицинская информация (PHI), также называемая личной медицинской информацией, представляет собой демографическую информацию, медицинскую .

Снижение рисков – это стратегия подготовки к угрозам, с которыми сталкивается бизнес, и уменьшения их последствий.

Отказоустойчивая технология — это способность компьютерной системы, электронной системы или сети обеспечивать бесперебойное обслуживание.

Синхронная репликация — это процесс копирования данных по сети хранения, локальной или глобальной сети, поэтому .

Коэффициент усиления записи (WAF) – это числовое значение, представляющее объем данных, передаваемых контроллером твердотельного накопителя (SSD) .

API облачного хранилища — это интерфейс прикладного программирования, который соединяет локальное приложение с облачным хранилищем.

Интерфейс управления облачными данными (CDMI) – это международный стандарт, определяющий функциональный интерфейс, используемый приложениями.

Шлюз управления облаком (CMG) предоставляет простой способ управления клиентами Configuration Manager через Интернет. Вы развертываете CMG как облачную службу в Microsoft Azure. Затем, без дополнительной локальной инфраструктуры, вы сможете управлять клиентами, которые перемещаются по Интернету или находятся в филиалах по глобальной сети. Вам также не нужно открывать локальную инфраструктуру для доступа в Интернет.

После создания предварительных условий создание CMG состоит из следующих трех шагов в консоли Configuration Manager:

  1. Разверните облачную службу CMG в Azure.
  2. Добавьте роль точки подключения CMG.
  3. Настройте сайт и роли сайта для службы.

После развертывания и настройки клиенты легко получают доступ к ролям локального сайта, независимо от того, находятся ли они в интрасети или в Интернете.

Эта статья содержит базовые сведения о CMG и сценариях его использования.

Сценарии

Существует несколько сценариев, в которых выгодно использовать CMG. Следующие сценарии являются одними из наиболее распространенных:

Управление традиционными клиентами Windows с удостоверениями, присоединенными к домену Active Directory. Эти клиенты включают любую поддерживаемую версию Windows. Он использует сертификаты PKI для защиты канала связи. Управленческая деятельность включает:

  • Обновления программного обеспечения и защита конечных точек
  • Инвентарь и статус клиента
  • Настройки соответствия
  • Распространение программного обеспечения на устройство
  • Последовательность задач обновления Windows на месте

Управляйте традиционными клиентами Windows 10 или более поздней версии с современной идентификацией, гибридной или чисто облачной, присоединенной к домену с помощью Azure Active Directory (Azure AD). Клиенты используют Azure AD для проверки подлинности, а не сертификаты PKI. Использование Azure AD проще в установке, настройке и обслуживании, чем более сложные системы PKI. Действия по управлению такие же, как и в первом сценарии, плюс:

Установите клиент Configuration Manager на устройствах с Windows 10 или более поздней версии через Интернет. Использование Azure AD позволяет устройству пройти аутентификацию в CMG для регистрации и назначения клиентов. Вы можете установить клиент вручную или с помощью другого метода распространения программного обеспечения, например Microsoft Intune.

Подготовка новых устройств с совместным управлением. При автоматической регистрации существующих клиентов CMG не требуется для совместного управления. Это необходимо для новых устройств, использующих Windows Autopilot, Azure AD, Microsoft Intune и Configuration Manager. Дополнительные сведения см. в разделе Пути к совместному управлению.

Особые варианты использования

Для этих сценариев могут применяться следующие конкретные варианты использования устройств:

Перемещаемые устройства, такие как ноутбуки

Удаленные устройства/устройства в филиалах, менее дорогие и более эффективные для управления через Интернет, чем через глобальную сеть или VPN.

Слияния и поглощения, когда проще всего подключить устройства к Azure AD и управлять ими через CMG.

Клиенты рабочей группы. Для этих устройств могут потребоваться другие настройки, например сертификаты.

Чтобы облегчить управление клиентами удаленных рабочих групп, используйте проверку подлинности на основе токенов Configuration Manager. Дополнительные сведения см. в разделе Проверка подлинности на основе токенов для CMG.

По умолчанию все клиенты получают политику для CMG и начинают использовать ее, когда подключаются к Интернету. В зависимости от сценария и варианта использования, применимого к вашей организации, вам может потребоваться ограничить использование CMG. Дополнительные сведения см. в разделе Разрешить клиентам использовать клиентский параметр шлюза управления облачными клиентами.

Шлюз — это система передачи данных, обеспечивающая доступ к хост-сети через удаленную сеть. Компьютер обеспечивает возможность подключения к удаленной сети или автоматизированной системе за пределами узла хост-сети. Все данные, маршрутизируемые внутри или вне сети, должны сначала пройти и соединиться со шлюзом для использования путями маршрутизации. Маршрутизатор обычно настраивается для работы в качестве шлюза в компьютерных сетях.

Что такое шлюз?

Проще говоря, шлюз — это отдельный компонент сетевой аппаратной системы, применяемый в области телекоммуникаций для взаимодействия устройств, который обеспечивает передачу данных из одной отдельной сети в другие. Они действуют как маршрутизаторы или коммутаторы, способные взаимодействовать с несколькими сетями и работать на семи уровнях модели OSI. Шлюз по умолчанию называется компьютерной программой, настроенной для выполнения этой задачи. Он обеспечивает взаимодействие между сетями и подключенными компонентами, такими как трансляторы сигналов, изоляторы неисправностей, трансляторы протоколов, преобразователи скорости и устройства согласования импеданса. Сетевой шлюз также называют транслятором протокола или шлюзом сопоставления, который может выполнять преобразование протоколов для связывания сетей с различными сетевыми структурами. Необходимо формирование взаимоприемлемого административного процесса между сетями, использующими шлюзы.

Веб-разработка, языки программирования, тестирование программного обеспечения и другое

Есть много приложений, использующих это. Сетевой шлюз также может соединять домашнюю интрасеть с офисным Интернетом. Если какой-либо пользователь организации хочет просмотреть веб-страницу, доступ осуществляется как минимум к двум.Один используется для доступа из офисной сети, а другой — для доступа из Интернета на веб-страницу браузера на компьютере. В сети любой компании он обычно выступает в роли брандмауэра или прокси-сервера, защищающего сеть от вторжений извне. Атрибут общего доступа к подключению к Интернету в Microsoft позволяет компьютеру работать в качестве шлюза, устанавливая соединение между Интернетом и внутренней сетью.

Существует множество ответвлений, таких как Интернет вещей, облачное хранилище и шлюз "Интернет-орбита". Связь между компьютерами или устройствами в Интернете с компьютерными сетями, вращающимися вокруг Земли, такими как искусственные космические корабли и спутники, возможна путем развертывания Интернета на орбите. Шлюз облачного хранилища — это сетевое приложение, которое преобразует API облачного хранилища, например REST и SOAP, в блочные протоколы, такие как iSCSI, CIFS или NFS. Этот шлюз позволяет компаниям ассимилировать приложения для хранения в частном облаке, не переходя в общедоступные облачные приложения. Это стало возможным благодаря изменению защиты данных. IoT управляет мостом между компонентами IoT в облаке и пользовательскими устройствами, такими как смартфоны, путем установления канала связи и предлагает автономные услуги и управление оборудованием в реальном времени в полевых условиях.

Почему мы используем шлюз?

Шлюз имеет широкий спектр применений и преимуществ. Объясняются основные функции, и они применяются соответственно в нужном месте для достижения высокой эффективности. Обычно он работает в качестве защитного устройства для локальных сетей и связывает локальную сеть с общедоступной сетевой системой. Это защитный брандмауэр, построенный по принципу NAT. Он активирует машину с локальным IP-адресом, чтобы включить Интернет через полный адрес шлюза. Он получает пакет из локальной сети и внешний IP-адрес, а новый порт отправляется в ресурсные поля заголовков в IP и UDP. Это полный компонент со многими отдельными устройствами, которые необходимы для обеспечения высокой совместимости системы в качестве преобразователей сигналов. Когда человек получает доступ к домашней сети через шлюз, для настройки беспроводного соединения используется приемопередатчик.

Его можно развернуть на оборудовании, программном обеспечении и редко, так как обрабатывается сочетание этих и многих типов оборудования, таких как передача данных и голосовая связь. Это лучший вариант для обеспечения высокоинтерактивной программной связи между неидентичными сетями, поскольку каждая отдельная сеть имеет разные характеристики и протоколы. Это важный компонент любого телефонного взаимодействия и действует как мост между Интернетом и телефонной сетью. Для приложений, работающих в реальном времени, шлюзы поддерживают передачу звука и переадресовывают затухание и конфигурацию вызова. Он управляет вспомогательными данными по сети, которые содержат информацию о настройке исходного сквозного вызова. Он также может быть установлен в автономных компонентах, которые действуют как интерфейс между глобальной и локальной сетями, такими как TCP в Интернете. Он также отслеживает действия своих клиентов, собирает информацию и выполняет другие задачи. Это позволяет сетевому клиенту получать доступ к различным компьютерным сетям. Он также предоставляет онлайн-услуги в соответствии с ранее заключенным соглашением об обслуживании или постоянной связью с поставщиками.

Как это работает?

Это точка сети, которая может получить доступ к другим сетям. Обычно в интрасети маршрутизатор или узел может действовать как узел шлюза, или маршрутизатор, связывающий сети, называется шлюзом. На крупных предприятиях компьютеры, управляющие трафиком между корпоративными сетями, называются узлами шлюза. Например, компьютеры, используемые интернет-провайдерами для одновременной связи различных пользователей друг с другом в Интернете, являются узлами шлюза. В любой команде разработчиков любого коммерческого предприятия компьютерный сервер функционирует как шлюз, а также иногда может быть прокси-сервером или брандмауэром.

Обучение Windows 10 (4 курса, 4+ проекта) 4 онлайн-курса | 4 практических проекта | 26+ часов | Поддающийся проверке сертификат об окончании | Пожизненный доступ
4,5 (8 562 оценки)

Он может быть связан с маршрутизатором, поскольку маршрутизатор точно знает о пути маршрутизации пакетов данных, которые появляются на шлюзе, а затем коммутатор выбирает подходящий входной и выходной путь шлюза для назначенного пакета. Шлюз является обязательным атрибутом маршрутов, даже если другие устройства могут работать как шлюз. Но используемая здесь операционная система с раздачей интернета ведет себя как шлюз и устанавливает соединение с внутренними сетями.

Рекомендуемые статьи

Это руководство о том, что такое Gateway. Здесь мы обсуждаем введение и то, как шлюз работает в компьютерной сети. Вы также можете прочитать следующие статьи, чтобы узнать больше –

Интернет-шлюз – это горизонтально масштабируемый, избыточный и высокодоступный компонент VPC, который обеспечивает связь между вашим VPC и Интернетом.Интернет-шлюз позволяет ресурсам (например, экземплярам EC2) в ваших общедоступных подсетях подключаться к Интернету, если у ресурса есть общедоступный адрес IPv4 или адрес IPv6. Точно так же ресурсы в Интернете могут инициировать подключение к ресурсам в вашей подсети, используя общедоступный адрес IPv4 или адрес IPv6. Например, интернет-шлюз позволяет подключаться к экземпляру EC2 в AWS с помощью локального компьютера.

Интернет-шлюз служит двум целям: указать цель в таблицах маршрутов VPC для интернет-маршрутизируемого трафика и выполнять преобразование сетевых адресов (NAT) для экземпляров, которым были назначены общедоступные IPv4-адреса. Дополнительные сведения см. в разделе Включение доступа в Интернет.

Интернет-шлюз поддерживает трафик IPv4 и IPv6. Это не создает рисков доступности или ограничений пропускной способности сетевого трафика. Дополнительная плата за наличие интернет-шлюза в вашем аккаунте не взимается.

Включить доступ в Интернет

Чтобы включить доступ к Интернету или из Интернета для экземпляров в подсети в VPC, необходимо сделать следующее.

Создайте интернет-шлюз и подключите его к своему VPC.

Добавьте маршрут в таблицу маршрутов вашей подсети, который направляет интернет-трафик на интернет-шлюз.

Убедитесь, что экземпляры в вашей подсети имеют глобально уникальный IP-адрес (общедоступный IPv4-адрес, эластичный IP-адрес или IPv6-адрес).

Убедитесь, что ваши списки контроля доступа к сети и правила группы безопасности разрешают прохождение соответствующего трафика в ваш экземпляр и из него.

Общедоступные и частные подсети

Если подсеть связана с таблицей маршрутов, содержащей маршрут к интернет-шлюзу, она называется общедоступной подсетью. Если подсеть связана с таблицей маршрутов, в которой нет маршрута к интернет-шлюзу, она называется частной подсетью.

В таблице маршрутов общедоступной подсети вы можете указать маршрут для интернет-шлюза ко всем пунктам назначения, которые явно не известны в таблице маршрутов (0.0.0.0/0 для IPv4 или ::/0 для IPv6). В качестве альтернативы вы можете ограничить маршрут более узким диапазоном IP-адресов; например, общедоступные IPv4-адреса общедоступных конечных точек вашей компании за пределами AWS или эластичные IP-адреса других инстансов Amazon EC2 за пределами вашего VPC.

IP-адреса и NAT

Чтобы включить связь через Интернет для IPv4, ваш экземпляр должен иметь общедоступный IPv4-адрес или эластичный IP-адрес, связанный с частным IPv4-адресом вашего экземпляра. Ваш экземпляр знает только о частном (внутреннем) пространстве IP-адресов, определенном в VPC и подсети. Интернет-шлюз логически обеспечивает индивидуальный NAT от имени вашего экземпляра, поэтому, когда трафик покидает вашу подсеть VPC и направляется в Интернет, в поле адреса ответа устанавливается общедоступный IPv4-адрес или эластичный IP-адрес вашего экземпляра. , а не его частный IP-адрес. И наоборот, трафик, предназначенный для общедоступного IPv4-адреса или эластичного IP-адреса вашего экземпляра, преобразуется в адрес назначения в частный IPv4-адрес экземпляра до того, как трафик будет доставлен в VPC.

Чтобы включить связь через Интернет для IPv6, ваш VPC и подсеть должны иметь связанный блок IPv6 CIDR, а вашему экземпляру должен быть назначен адрес IPv6 из диапазона подсети. IPv6-адреса уникальны в глобальном масштабе и, следовательно, общедоступны по умолчанию.

На следующей диаграмме подсеть в зоне доступности A является общедоступной. В таблице маршрутов для этой подсети есть маршрут, который отправляет весь интернет-трафик IPv4 на интернет-шлюз. Экземпляры в общедоступной подсети должны иметь общедоступные IP-адреса или эластичные IP-адреса, чтобы обеспечить связь с Интернетом через интернет-шлюз. Для сравнения, подсеть в зоне доступности B является частной подсетью, поскольку в ее таблице маршрутов нет маршрута к интернет-шлюзу. Экземпляры в частной подсети не могут обмениваться данными с Интернетом через интернет-шлюз, даже если у них есть общедоступные IP-адреса.

Чтобы предоставить вашим экземплярам доступ в Интернет без назначения им общедоступных IP-адресов, вместо этого вы можете использовать устройство NAT. Устройство NAT позволяет экземплярам в частной подсети подключаться к Интернету, но не позволяет хостам в Интернете инициировать соединения с экземплярами. Дополнительную информацию см. в разделе Подключение к Интернету или другим сетям с помощью устройств NAT.

Доступ в Интернет для VPC по умолчанию и не по умолчанию

В следующей таблице представлен обзор того, поставляется ли ваше VPC автоматически с компонентами, необходимыми для доступа в Интернет через IPv4 или IPv6.

Компонент VPC по умолчанию VPC не по умолчанию
Интернет-шлюз Да Да, если вы создали VPC, используя первый или второй вариант в мастере VPC.В противном случае необходимо вручную создать и подключить интернет-шлюз.
Таблица маршрутов с маршрутом к интернет-шлюзу для трафика IPv4 (0.0.0.0/0) Да Да, если вы создали VPC, используя первый или второй вариант в мастере VPC. В противном случае необходимо вручную создать таблицу маршрутов и добавить маршрут.
Таблица маршрутов с маршрутом к интернет-шлюзу для трафика IPv6 (::/0) Нет Да, если вы создали VPC, используя первый или второй вариант в мастере VPC, и если вы указали параметр для связывания блока IPv6 CIDR с VPC. В противном случае необходимо вручную создать таблицу маршрутов и добавить маршрут.
Общедоступный IPv4-адрес, автоматически назначаемый экземпляру, запущенному в подсеть Да (подсеть по умолчанию) Нет (подсеть не по умолчанию)
IPv6-адрес, автоматически назначаемый экземпляру, запущенному в подсеть Нет (подсеть по умолчанию) Нет (подсеть не по умолчанию)

Дополнительную информацию о VPC по умолчанию см. в разделе VPC по умолчанию. Дополнительные сведения об использовании мастера VPC для создания VPC с интернет-шлюзом см. в разделе VPC с одной общедоступной подсетью или VPC с общедоступной и частной подсетями (NAT).

Дополнительную информацию об IP-адресации в вашем VPC и управлении тем, как экземплярам назначаются общедоступные адреса IPv4 или IPv6, см. в разделе IP-адресация.

При добавлении новой подсети в VPC необходимо настроить маршрутизацию и безопасность, необходимые для этой подсети.

Доступ к Интернету из подсети в вашем VPC

Ниже описано, как обеспечить доступ в Интернет из подсети в вашем VPC с помощью интернет-шлюза. Чтобы отключить доступ в Интернет, вы можете отсоединить интернет-шлюз от вашего VPC, а затем удалить его.

Задачи

Создать подсеть

Чтобы добавить подсеть к вашему VPC

На панели навигации выберите Подсети, Создать подсеть.

При необходимости укажите сведения о подсети:

Тег имени: при желании укажите имя для своей подсети. При этом создается тег с ключом Name и указанным вами значением.

VPC: выберите VPC, для которого вы создаете подсеть.

Зона доступности. При необходимости выберите зону доступности или локальную зону, в которой будет находиться ваша подсеть, или оставьте значение по умолчанию «Нет предпочтений», чтобы позволить AWS выбрать зону доступности за вас.

Информацию о регионах, поддерживающих локальные зоны, см. в разделе «Доступные регионы» в Руководстве пользователя Amazon EC2 для инстансов Linux.

Блок IPv4 CIDR: укажите блок IPv4 CIDR для своей подсети, например, 10.0.1.0/24 . Дополнительную информацию см. в разделе Размер VPC для IPv4.

Блок IPv6 CIDR: (необязательно) Если вы связали блок IPv6 CIDR с вашим VPC, выберите «Указать настраиваемый IPv6 CIDR». Укажите шестнадцатеричное значение пары для подсети или оставьте значение по умолчанию.

Выберите Создать.

Дополнительную информацию см. в разделе Подсети для вашего VPC.

Создать и подключить интернет-шлюз

После создания интернет-шлюза подключите его к своему VPC.

Чтобы создать интернет-шлюз и подключить его к вашему VPC

На панели навигации выберите Интернет-шлюзы, а затем выберите Создать интернет-шлюз.

При желании назовите свой интернет-шлюз.

При желании добавьте или удалите тег.

[Добавить тег] Выберите Добавить тег и выполните следующие действия:

В поле "Ключ" введите имя ключа.

В поле "Значение" введите значение ключа.

[Удалить тег] Выберите «Удалить» справа от ключа и значения тега.

Выберите Создать интернет-шлюз.

Выберите только что созданный интернет-шлюз, а затем выберите «Действия», «Присоединиться к VPC».

Выберите свой VPC из списка, а затем нажмите «Подключить интернет-шлюз».

Создать собственную таблицу маршрутов

Когда вы создаете подсеть, мы автоматически связываем ее с основной таблицей маршрутов для VPC. По умолчанию основная таблица маршрутов не содержит маршрут к интернет-шлюзу. Следующая процедура создает пользовательскую таблицу маршрутов с маршрутом, который отправляет трафик за пределы VPC на интернет-шлюз, а затем связывает его с вашей подсетью.

Чтобы создать собственную таблицу маршрутов

На панели навигации выберите "Таблицы маршрутов", а затем выберите "Создать таблицу маршрутов".

В диалоговом окне "Создать таблицу маршрутов" при необходимости назовите свою таблицу маршрутов, затем выберите VPC и выберите "Создать таблицу маршрутов".

Выберите пользовательскую таблицу маршрутов, которую вы только что создали. На панели сведений отображаются вкладки для работы с его маршрутами, ассоциациями и распространением маршрутов.

На вкладке "Маршруты" выберите "Редактировать маршруты", "Добавить маршрут" и при необходимости добавьте следующие маршруты. Когда закончите, выберите Сохранить изменения.

Для трафика IPv4 укажите 0.0.0.0/0 в поле "Назначение" и выберите идентификатор интернет-шлюза в списке "Назначение".

Для трафика IPv6 укажите ::/0 в поле "Назначение" и выберите идентификатор интернет-шлюза в списке "Назначение".

На вкладке "Связи подсетей" выберите "Изменить ассоциации подсетей", установите флажок для подсети, а затем выберите "Сохранить ассоциации".

Создайте группу безопасности для доступа в Интернет

По умолчанию группа безопасности VPC разрешает весь исходящий трафик. Вы можете создать новую группу безопасности и добавить правила, разрешающие входящий трафик из Интернета. Затем вы можете связать группу безопасности с экземплярами в общедоступной подсети.

Чтобы создать группу безопасности и связать ее с экземпляром

На панели навигации выберите Группы безопасности, а затем выберите Создать группу безопасности.

Введите имя и описание группы безопасности.

Для VPC выберите свое VPC.

Выберите Создать группу безопасности.

На панели навигации выберите Экземпляры.

Выберите экземпляр, а затем выберите "Действия", "Безопасность", "Изменить группы безопасности".

Для связанных групп безопасности выберите существующую группу безопасности, а затем выберите Добавить группу безопасности. Чтобы удалить уже связанную группу безопасности, выберите Удалить. Когда вы закончите вносить изменения, нажмите "Сохранить".

Назначение эластичного IP-адреса экземпляру

После того как вы запустили экземпляр в подсеть, вы должны назначить ему эластичный IP-адрес, если вы хотите, чтобы он был доступен из Интернета по протоколу IPv4.

Если вы назначили общедоступный IPv4-адрес своему экземпляру во время запуска, то ваш экземпляр доступен из Интернета, и вам не нужно назначать ему эластичный IP-адрес. Дополнительные сведения об IP-адресации для вашего экземпляра см. в разделе IP-адресация.

Чтобы выделить эластичный IP-адрес и назначить его экземпляру с помощью консоли

На панели навигации выберите Эластичные IP-адреса.

Выберите «Выделить новый адрес».

Выберите «Распределить».

Если ваша учетная запись поддерживает EC2-Classic, сначала выберите VPC.

Выберите эластичный IP-адрес из списка, выберите «Действия», а затем выберите «Связать адрес».

Выберите «Экземпляр» или «Сетевой интерфейс», а затем выберите идентификатор экземпляра или сетевого интерфейса. Выберите частный IP-адрес, с которым нужно связать эластичный IP-адрес, а затем нажмите «Связать».

Отключить интернет-шлюз от вашего VPC

Если вам больше не нужен доступ в Интернет для экземпляров, которые вы запускаете в облаке VPC не по умолчанию, вы можете отключить интернет-шлюз от VPC. Вы не можете отключить интернет-шлюз, если у VPC есть ресурсы со связанными общедоступными IP-адресами или эластичными IP-адресами.

Чтобы отключить интернет-шлюз

На панели навигации выберите Эластичные IP-адреса и выберите Эластичный IP-адрес.

Выберите «Действия», «Отключить адрес». Выберите Отключить адрес.

На панели навигации выберите Интернет-шлюзы.

Выберите интернет-шлюз и выберите «Действия», «Отключить от VPC».

В диалоговом окне "Отключить от VPC" выберите "Отключить интернет-шлюз".

Удалить интернет-шлюз

Если вам больше не нужен интернет-шлюз, вы можете удалить его. Вы не можете удалить интернет-шлюз, если он все еще подключен к VPC.

Чтобы удалить интернет-шлюз

На панели навигации выберите Интернет-шлюзы.

Выберите интернет-шлюз и выберите Действия, Удалить интернет-шлюз.

В диалоговом окне "Удалить интернет-шлюз" введите "Удалить" и выберите "Удалить интернет-шлюз".

Обзор API и команд

Вы можете выполнять задачи, описанные на этой странице, с помощью командной строки или API. Дополнительные сведения об интерфейсах командной строки и список доступных действий API см. в разделе Доступ к Amazon VPC.

Создать интернет-шлюз

New-EC2InternetGateway (инструменты AWS для Windows PowerShell)

Подключить интернет-шлюз к VPC

Add-EC2InternetGateway (инструменты AWS для Windows PowerShell)

Опишите интернет-шлюз

Get-EC2InternetGateway (инструменты AWS для Windows PowerShell)

Отключить интернет-шлюз от VPC

Dismount-EC2InternetGateway (инструменты AWS для Windows PowerShell)

Удалить интернет-шлюз

Удалить шлюз EC2InternetGateway (инструменты AWS для Windows PowerShell)

Спасибо, что сообщили нам, что мы делаем хорошую работу!

Если у вас есть минутка, расскажите, что мы сделали правильно, чтобы мы могли сделать больше.

Спасибо, что сообщили нам, что эта страница нуждается в доработке. Сожалеем, что подвели вас.

Если у вас есть минутка, расскажите нам, как мы можем улучшить документацию.

Читайте также: